Japan
サイト内の現在位置
人工衛星Hacking
2024/8/3~8/8にかけてラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2024」にて参加したトレーニングについてご紹介します。
このトレーニングでは、宇宙システムが直面する固有の課題と脆弱性を理解し、これらのリスク特定と軽減の方法を学びました。
シナリオでは、内部脅威の攻撃者として人工衛星と地上局との間で交わされる通信に割り込む中間者攻撃 (MITM)を行い、人工衛星の操作を乗っ取るまでの手法を体験します。
演習環境はオペレーターステーション、地上局、衛星シミュレータの3つのホストから構成され、衛星と地上システムの指揮・制御・監視を行うCOSMOS、宇宙船システムの動作シミュレーションするNOSエンジン、衛星の軌道とダイナミクスを包括的に視覚化するNASA開発のツール(42)を用いてAWS上に構築します。
中間者攻撃(MITM)(MITRE ATT&CK ID:T1557)はサイバー攻撃でよく用いられる手法の一つであり、2つ以上のネットワークデバイスの間に位置取ることで、ネットワークスニッフィング、送信データ操作、リプレイ攻撃などが可能となります。
今回のユースケースでは、地上局と衛星の間で送受信されるトラフィックを傍受し内容の表示、変更、中断することで、衛星が受信する操縦コマンドと宇宙船の運行状況や飛行経路などを把握するために地上局が受信するテレメトリを完全に制御します。
MITM 攻撃は正しく実行された場合、どちらの被害者ホストも正常時の通信と違いを感じないため、検出が非常に困難な攻撃です。また、ARPキャッシュポイズニング(MITRE ATT&CK ID:T1557.002)などの一部のMITM手法では、攻撃者は被害者ホストに直接アクセスする必要すらありません。
また、攻撃者がLinuxホストに対して高度なアクセス権を持っている場合、IPTablesを用いて、どのユーザーにも見えない低レベルのリダイレクトを設定することができ、特定の IPアドレス宛てのトラフィックを攻撃者のIPアドレスに誘導するローカルルーティングルールを適用できます。
シナリオでは攻撃者は地上局へのSSHアクセス権を持っていると仮定し、地上局から衛星のコマンドポート宛てのトラフィックを強制的にリダイレクトさせます。
リダイレクトされたトラフィックを、ツールを用いてインターセプトすることで送信前にコマンドやパラメータの変更が可能となります。
衛星通信ではCCSDS(宇宙データシステム諮問委員会)が推奨する宇宙データ通信規格CCSDSプロトコルを用います。
今回は、衛星の姿勢制御に用いられるリアクションホイールに対してコマンドを変更して送信することで、コントロールを乗っ取ることに成功しました。



地上局ネットワークには非常に特殊な機器が含まれていますが、その中核は IP のルール内で動作するネットワークです。そのため、今回のシナリオのように悪意のある人物が地上局と最終ターゲットである衛星の間に存在を確立できる場合、地上局と衛星のいずれにも検出されることなくコマンドとテレメトリの傍受、変更、破壊が行われる可能性があります。
トレーニングではMITRE ATT&CKベースの一般的なMITMのTTPを用いましたが、宇宙空間という特殊な環境に特化した攻撃研究および戦術分析(SPARTA)などもあり、海底から宇宙まで幅広い領域で事業を展開しているNECでは、それらの高度で専門的な分野を支えるセキュリティ対策を今後も推進していきます。
おまけ
Black Hatの直後に開催されるハッカーコンベンション「DEF CON 32」にも参加し、 Aerospace Villageにて限定100個で販売されていたDC32バッジを入手したのでご紹介します。
このバッジは大半の航空機が送信するADS-B信号を受信し、近くの航空機の情報を表示することができます。通常、1090 MHz 信号を受信するには特殊なコンポーネントとSDR(ソフトウェア無線)が必要ですが、このバッジではハードウェアハックとトリックを用いることで、通常のコンポーネントで受信が可能となっています。
また、このバッジは航空機を表示するだけでなく、Linuxシングルボードコンピュータとなっており、SSH接続やUSBポートにキーボードを接続してターミナルを操作することも可能です。
実際にDC32バッジを用いて航空機の信号を受信できるのか、羽田空港にて検証をしてきました。
検証の結果、写真のように近くにいる航空機のフライト名、高度、速度、緯度経度などの情報を受信し、表示することに成功しました。





Hacking on Satellites
Attending a Space Systems Security Training at Black Hat USA 2024
I'd like to share my experience from a training session I attended at the security conference "Black Hat USA 2024," held in Las Vegas from August 3-8, 2024.
This training focused on understanding the unique challenges and vulnerabilities faced by space systems, and taught methods for identifying and mitigating these risks.
In one scenario, we played the role of an insider threat, performing a Man-in-the-Middle (MITM) attack to intercept communications between a satellite and its ground station, ultimately hijacking control of the satellite.
The training environment consisted of three hosts: an operator station, a ground station, and a satellite simulator. This setup was built on AWS using COSMOS for satellite command, control, and monitoring; the NOS engine for spacecraft system simulation; and 42 for comprehensive visualization of satellite orbits and dynamics.
MITM attacks (MITRE ATT&CK ID: T1557) are a common cyber attack technique that involves positioning oneself between two or more network devices, enabling network sniffing, data manipulation, and replay attacks. In our use case, we intercepted traffic between the ground station and satellite, allowing us to view, modify, and interrupt content. This gave us complete control over the steering commands received by the satellite and the telemetry received by the ground station, including spacecraft status and flight path information.
When executed correctly, MITM attacks are extremely difficult to detect as neither victim host notices any difference from normal communication. Some MITM techniques, such as ARP cache poisoning (MITRE ATT&CK ID: T1557.002), don't even require the attacker to have direct access to the victim hosts.
Furthermore, if an attacker has advanced access to a Linux host, they can use IPTables to set up low-level redirects invisible to any user, applying local routing rules to divert traffic intended for specific IP addresses to the attacker's IP address.
In our scenario, we assumed the attacker had SSH access to the ground station and forced traffic from the ground station to the satellite's command port to redirect. By intercepting this redirected traffic using specialized tools, we could modify commands and parameters before transmission.
Satellite communications use the CCSDS protocol, a space data communication standard recommended by the Consultative Committee for Space Data Systems. In this case, we successfully hijacked control by altering commands sent to the reaction wheels used for satellite attitude control.
While ground station networks include highly specialized equipment, their core operates within IP rules. This means that if a malicious actor can establish a presence between the ground station and the satellite (the ultimate target), as in our scenario, they can intercept, modify, or destroy commands and telemetry without being detected by either the ground station or the satellite.
The training used common MITM TTPs based on MITRE ATT&CK, but there are also specialized attack research and tactical analyses like SPARTA that focus on the unique space environment. At NEC, where we operate across a wide range of fields from the seafloor to outer space, we will continue to promote security measures that support these advanced and specialized areas.
Bonus Section: Hands-on with the DEF CON 32 Aerospace Village Badge
Following Black Hat, I attended "DEF CON 32," the legendary hacker convention. At the Aerospace Village, I was fortunate to acquire one of only 100 limited-edition DC32 badges available for sale.
This remarkable device can receive ADS-B signals transmitted by most aircraft, displaying real-time information about nearby planes. What makes it unique is its ability to receive 1090 MHz signals using standard components, achieved through clever hardware hacks and engineering tricks. Normally, such reception requires specialized equipment and a Software Defined Radio (SDR).
Beyond its primary function, the badge is a fully-functional Linux single-board computer. Users can SSH into it or connect a keyboard via USB to access the terminal, opening up a world of possibilities for customization and experimentation.
To test the badge's capabilities, I took it to Haneda Airport. The results were impressive: as shown in the accompanying photo, the badge successfully received and displayed a wealth of information about nearby aircraft, including flight names, altitudes, speeds, and precise latitude/longitude coordinates.
